Kiadták a LockBit 3.0 zsarolóvírus-elemző jelentését.

Idén március 24. és április első hete között Vietnam kibertere célzott zsarolóvírus-támadások sorozatának volt tanúja, amelyek kritikus ágazatokban, például a pénzügy, az értékpapírok, az energia és a telekommunikáció területén működő nagy vietnami vállalkozásokat vettek célba. Ezek a támadások időleges rendszerleállásokat okoztak, jelentős gazdasági veszteségeket és a célzott szervezetek hírnevének romlását eredményezve.

A vietnami vállalkozások információs rendszereit a közelmúltban támadó csoportok és az okok elemzése és kivizsgálása során a hatóságok megállapították, hogy ezek az incidensek különböző támadócsoportok, például a LockBit, a BlackCat, a Mallox stb. „termékei”. Különösen a VNDIRECT rendszerét március 24-én 10:00 órakor ért zsarolóvírus-támadással kapcsolatban, amely a vietnami tőzsdén a top 3-ba tartozó vállalat összes adatát titkosította, a hatóságok a LockBitet és annak LockBit 3.0 rosszindulatú programját azonosították elkövetőként.

W-tan-cong-ma-hoa-du-lieu-0-1-1.jpg
A Nemzeti Kiberbiztonsági Központ A05-ös osztálya ( Közbiztonsági Minisztérium ) megerősítette, hogy a VNDIRECT értékpapír-társaság rendszere elleni 2024 márciusi támadást a LockBit 3.0 hajtotta végre.

Globálisan a LockBit csoport számos zsarolóvírus-támadást indított nagyvállalatok és szervezetek ellen. Például 2023 júniusában és októberében ez a hírhedt zsarolóvírus-csoport megtámadta a félvezetőgyártó TSMC-t (Tajvan, Kína) és az IT-termékeket és -szolgáltatásokat nyújtó CDW-t, akár 70-80 millió dolláros váltságdíjat követelve ezektől a vállalkozásoktól.

Azzal a céllal, hogy segítsen a vietnami ügynökségeknek, szervezeteknek és vállalkozásoknak jobban megérteni a veszély szintjét, valamint azt, hogyan előzhetik meg és mérsékelhetik a zsarolóvírus-támadások, illetve különösen a LockBit csoport támadásainak kockázatait, az Információbiztonsági Minisztérium (Információs és Kommunikációs Minisztérium) Nemzeti Kiberbiztonsági Megfigyelőközpontja (NCSC) online forrásokból gyűjtött össze információkat, és közzétette a „LockBit 3.0 zsarolóvírusokról szóló elemző jelentést”.

A világ legveszélyesebb zsarolóvírus-csoportja.

Az NCSC új jelentése négy fő pontra összpontosít, beleértve: Információk a LockBit zsarolóvírus-támadási csoportról; Aktív LockBit klaszterek; A rögzített LockBit 3.0-val kapcsolatos kibertámadási indikátorok listája; és Módszerek a zsarolóvírus-támadások kockázatainak megelőzésére és enyhítésére.

Az NCSC jelentése a LockBitet a világ egyik vezető zsarolóvírus-csoportjaként azonosította, és azt is kijelentette, hogy 2019-es megjelenése óta a LockBit számos támadást hajtott végre különböző ágazatokban működő vállalkozások és szervezetek ellen. A csoport a „zsarolóvírus-szolgáltatásként (RaaS)” modell alapján működik, amely lehetővé teszi a kiberfenyegetők számára, hogy zsarolóvírusokat telepítsenek, és megosszák a profitot a szolgáltatás mögött állókkal.

zsarolóvírus lockbit.jpg
Szakértők szerint a LockBit a világ egyik legveszélyesebb zsarolóvírus-csoportja. (Illusztráció: Bkav)

Figyelemre méltó, hogy 2022 szeptemberében egy „ali_qushji” nevű személy kiszivárogtatta a LockBit 3.0 forráskódját, beleértve számos olyan nevet, amelyek felhasználhatók lennének a zsarolóvírus fejlesztéséhez, az X platformon (korábban Twitter). Ez a szivárgás lehetővé tette a szakértők számára, hogy alaposabban elemezzék a LockBit 3.0 zsarolóvírust, de azóta a fenyegetések szereplői új zsarolóvírus-variánsok hullámát hozták létre a LockBit 3.0 forráskódja alapján.

Az aktív LockBit zsarolóvírus-klaszterek, például a TronBit, a CriptomanGizmo és a Tina Turnet támadási módszereinek elemzése mellett az NCSC jelentése a LockBit 3.0-hoz kapcsolódó rögzített IOC (Intelligens Operatív Bűnözés) támadási indikátorok listáját is megadja az illetékes ügynökségeknek. „Folyamatosan frissíteni fogjuk az IOC indikátorokat a nemzeti kiberbiztonsági portál alert.khonggianmang.vn oldalán” – nyilatkozta az NCSC egyik szakértője.

A „LockBit 3.0 zsarolóvírus-elemzési jelentés” különösen fontos része az ügynökségeknek, szervezeteknek és vállalkozásoknak nyújtott útmutatás a zsarolóvírus-támadások kockázatainak megelőzéséről és enyhítéséről. A vietnami szervezeteket a zsarolóvírus-támadások megelőzésében és az azokra való reagálásban támogató fontos megjegyzéseket, amelyeket a Kiberbiztonsági Osztály az április 6-án kiadott „A zsarolóvírus-támadások kockázatainak megelőzésére és enyhítésére irányuló intézkedésekről szóló kézikönyv” című dokumentumban vázolt fel, az NCSC szakértői továbbra is javasolják végrehajtásra.

W-phong-chong-tan-cong-ransomware-1.jpg
A folyamatos monitorozás a rendszerbetörések korai észlelése érdekében egyike annak a kilenc intézkedésnek, amelyeket a Kiberbiztonsági Ügynökség a zsarolóvírus-támadások megelőzése érdekében a szervezeteknek javasol. (Illusztráció: Khanh Linh)

Szakértők szerint a jelenlegi zsarolóvírus-támadások gyakran egy szervezeten belüli biztonsági résből erednek. A támadók beszivárognak a rendszerbe, jelenlétüket fenntartják, kiterjesztik hatókörüket, ellenőrzik a szervezet informatikai infrastruktúráját, és megbénítják a rendszert azzal a céllal, hogy a sértett szervezeteket váltságdíj fizetésére kényszerítsék titkosított adataik visszaszerzéséért.

Öt nappal a VNDIRECT rendszer elleni támadás után a VietNamNet újságíróinak nyilatkozva az Információbiztonsági Osztály képviselője az incidensre adott válasz koordinálásáért felelős egység szemszögéből kijelentette: Ez az incidens fontos tanulság a kiberbiztonsággal kapcsolatos tudatosság növelése érdekében a vietnami szervezetek és vállalkozások körében.

Ezért az ügynökségeknek, szervezeteknek és vállalkozásoknak, különösen azoknak, amelyek kritikus ágazatokban, például pénzügyben, banki szektorban, értékpapír-iparban, energiaszektorban és telekommunikációban működnek, sürgősen és proaktívan felül kell vizsgálniuk és meg kell erősíteniük mind a meglévő biztonsági rendszereiket, mind a személyzetüket, miközben incidensekre vonatkozó reagálási terveket is ki kell dolgozniuk.

„A szervezeteknek szigorúan be kell tartaniuk az információbiztonságra és a kiberbiztonságra vonatkozó kiadott szabályozásokat, követelményeket és irányelveket. Minden szervezet és vállalkozás felelőssége, hogy megvédje magát és ügyfeleit a potenciális kibertámadási kockázatoktól” – hangsúlyozta az Információbiztonsági Osztály képviselője.

A LockBit zsarolóvírust eredetileg ABCD néven ismerték, a titkosított fájlkiterjesztésről kapta a nevét, majd néhány hónappal később megjelent az ABCD egy változata jelenlegi nevén, Lockbit néven. Egy évvel később a csoport kiadott egy továbbfejlesztett verziót, a LockBit 2.0-t (más néven LockBit Red), amely egy másik integrált rosszindulatú programot, a StealBit-et tartalmazott, amelynek célja az érzékeny adatok ellopása volt. A LockBit 3.0, vagy LockBit Black a legújabb verzió, amely 2022-ben jelent meg, új funkciókkal és fejlett biztonsági megkerülési technikákkal.
Miért volt képes a PVOIL rendszer ilyen gyorsan helyreállni egy zsarolóvírus-támadás után?

Miért volt képes a PVOIL rendszer ilyen gyorsan helyreállni egy zsarolóvírus-támadás után?

A viszonylag kis rendszerméret mellett a PVOIL számára a zsarolóvírus-támadás gyors megoldását és a működés néhány napon belüli helyreállítását lehetővé tevő kulcsfontosságú tényező a biztonsági mentési adatok voltak.
Biztonsági kultúra kialakítása a zsarolóvírus-támadások elleni védelem fokozása érdekében.

Biztonsági kultúra kialakítása a zsarolóvírus-támadások elleni védelem fokozása érdekében.

A CDNetworks Vietnam szerint a munkavállalók képzésébe való befektetéssel, a biztonsági kultúra kialakításával, valamint a munkavállalók és a biztonsági csapatok közötti együttműködés előmozdításával a vállalkozások fokozhatják védekezésüket a kibertámadásokkal, beleértve a zsarolóvírus-támadásokat is.
Az adatokért fizetett váltságdíj arra ösztönzi a hackereket, hogy növeljék a zsarolóvírus-támadások számát.

Az adatokért fizetett váltságdíj arra ösztönzi a hackereket, hogy növeljék a zsarolóvírus-támadások számát.

A szakértők egyetértenek abban, hogy a zsarolóvírus-támadások által sújtott szervezeteknek nem szabad váltságdíjat fizetniük a hackereknek. Ez arra ösztönözné a hackereket, hogy más célpontokat támadjanak, vagy más hackercsoportokat arra ösztönözne, hogy újra megtámadják a szervezet rendszereit.